Apa yang mereka pikirkan?
Itulah yang kami dan pakar keamanan lainnya, bertanya-tanya ketika konten raksasa Patreon baru-baru ini memberhentikan seluruh tim keamanan siber internalnya digantikan dengan layanan outsourcing.
Tentu saja, kita tidak tahu apa motivasi sebenarnya dari langkah ini.
Tetapi, seperti yang dilihat oleh orang luar, kita dapat menebak implikasi keamanan siber dari keputusan tersebut tidak dapat dihindari untuk perusahaan mana pun.
Pecat Tim Internal dan Kita Mengambil Resiko Besar
Patreon adalah situs pembuat konten yang menangani pendapatan miliaran dolar.
Untuk alasan yang tidak diketahui, Patreon tidak hanya memecat beberapa anggota staf atau seseorang di manajemen menengah.
Perusahaan memecat seluruh tim keamanannya!
Ini adalah keputusan besar dengan konsekuensi yang signifikan karena mengakibatkan hilangnya pengetahuan perusahaan yang tak terhitung.
Pada tingkat teknis, ini adalah hilangnya pengetahuan seputar saling ketergantungan sistem yang mendalam, yang hanya akan “diketahui” oleh pakar keamanan internal dan terakumulasi dari waktu ke waktu.
Ilmu yang jarang sekali ditulis.
Bisakah itu dibangun kembali?
Mungkin, tetapi di tengah krisis, berapa lama waktu yang dibutuhkan tim eksternal untuk mencari tahu?
“Buy-in” dan “Right now”
Ada dua hal lain yang perlu dikuatirkan saat mempertimbangkan tim internal vs outsourcing.
Tidak peduli seberapa berpengetahuan orang yang kita kontrak, tidak akan pernah memiliki dukungan sama seperti kita dapatkan dari karyawan internal, pengelola sistem di perusahaan kita.
Lagi pula, orang yang kita kontrak melihat sistem karena mereka dikontrak dan tidak akan pernah sepenuhnya terintegrasi ke dalam budaya perusahaan.
Itu memengaruhi dedikasi dan kecepatan penyelesaian masalah, serta seberapa besar investasi tim dalam memperbaiki masalah.
Ya, SLA dapat memandu standar kinerja, tetapi ketika itu penting, dalam krisis, SLA tidak akan pernah meniru perasaan mendesak “right now” yang kita miliki dengan tim internal yang berdedikasi.
Tentu, tim internal mungkin tidak dapat menyelesaikan masalah secara instan.
Namun, di tengah krisis keamanan, hal terakhir yang kita inginkan adalah sekelompok orang yang kita kontrak melihat waktu dan berbagi perhatian mereka ke beberapa klien.
Lupakan tentang Mengganti Bakat yang Hilang
Saat membuat keputusan penting seperti ini, hal lain yang perlu dipertimbangkan: dapatkah kita membatalkan keputusan, jika kita menyesalinya?
Ya, dengan waktu yang cukup, Patreon bisa membangun kembali kemampuan dan pengetahuan yang hilang.
Tetapi dapatkah perusahaan menemukan bakat untuk melakukannya?
Akuisisi talenta adalah masalah yang signifikan di pasar teknologi.
Mempertahankan talenta itu sulit dan merekrut talenta baru bahkan lebih menantang.
Bagaimanapun juga, akan memakan waktu berbulan-bulan untuk membangun kembali tingkat kompetensi yang moderat.
Ini juga akan memakan biaya besar karena karyawan membutuhkan waktu untuk memahami lingkungan baru mereka dan bagaimana seluk-beluknya berbeda dari lingkungan tempat mereka bekerja sebelumnya.
Banyak dari ini dipelajari melalui pengalaman, tidak ada manual “praktik terbaik” yang dapat mencakupnya secara menyeluruh.
Apakah Hasil Bersihnya Sesuai dengan yang Diinginkan?
Kita tidak akan tahu mengapa Patreon membuat keputusan ini, tetapi itu bisa menjadi tindakan penghematan biaya, motivasi umum untuk outsourcing.
Tapi ada satu hal: berinvestasi dalam tim keamanan siber internal yang benar-benar di atas segalanya, dirancang untuk menghemat biaya kita, saat dibutuhkan.
Ketika sistem perusahaan diserang, tim internal yang sangat terlatih akan bekerja untuk mencegah pelanggaran.
Semua kerja keras, dedikasi dan pengetahuan itu menambah sistem yang sangat aman.
Itulah tantangan bagi keamanan siber: ketika tim yang didanai dan termotivasi dengan baik melakukan tugasnya, tidak ada yang bisa ditunjukkan kecuali: tidak adanya insiden.
Di sisi lain, insiden akibat keamanan yang tidak memadai diberikan oleh orang yang kita kontraktor dari eksternal (lebih murah?), bisa sangat mahal untuk ditangani dan dibersihkan.
Buruk untuk Pers, Keuangan, dan Keamanan
Apakah ada alasan yang sah selain penghematan biaya untuk memberhentikan seluruh tim keamanan siber internal?
Kurangnya kompetensi, risiko orang dalam, masalah interpersonal, kurangnya komunikasi atau kegagalan untuk mencapai tujuan bisnis?
Ini semua akan menjadi alasan yang valid.
Namun bahkan jika ada alasan yang sah, hasilnya tidak akan baik.
Ada liputan pers yang buruk karena perubahan besar-besaran dan tiba-tiba dalam rezim keamanan siber, mengirimkan sinyal yang salah.
Pada gilirannya dapat menyebabkan hilangnya kepercayaan dengan para creator yang mendorong keuntungan Patreon.
Resiko paling signifikan adalah kegagalan keamanan siber.
Apakah tim internal tidak kompeten?
Mungkin solusi yang lebih baik adalah menggabungkan pengetahuan internal dengan keahlian eksternal.
Keamanan siber semakin sulit dan menemukan bantuan luar yang tepercaya dan andal juga tidak mudah.
Saat menimbang pilihan, kita harus memeriksa kembali situasi sebelum melakukan langkah tersebut.
Bahkan jika itu adalah keputusan terbaik, noda reputasi akan sulit dihilangkan.
Recent Comments